Double Kill se démocratise et passe d’Office à Explorer

L’exploitation d’une vulnérabilité dans VBScript Engine utilise une méthode d’attaque unique en son genre et risque de faire école à l’avenir.

Dernièrement, Microsoft a publié un correctif pour la vulnérabilité Zero Day CVE-2018-8174, exploitée par le malware Double Kill et touchant le composant VBScript Engine. Les chercheurs de Qihoo 360 ont découvert que cette menace, en circulation depuis le 18 avril 2018, permet l’exécution de code pour des attaques à distance. La faille en question a été utilisée pour installer un backdoor, probablement à des fins de cyberespionnage. Ce correctif est considéré comme le plus prioritaire parmi ceux publiés en mai.

La vulnérabilité CVE-2018-8174 touche tous les systèmes Windows

Selon SecureList, la vulnérabilité présente dans VBScript Engine permet à un assaillant d’exécuter du code arbitraire à distance. Cette vulnérabilité ne se limite pas seulement aux logiciels d’Internet Explorer. En effet, toutes les applications qui y sont liées peuvent être touchées : Internet Explorer pouvant être appelé à partir de diverses applications, notamment Microsoft Office, tous les systèmes d’exploitation Microsoft Windows sont considérés comme vulnérables.

L’incident identifié par les chercheurs a été déclenché par un fichier RTF mais d’autres types de fichiers pourraient être employés dans le même but. Le fichier, lorsqu’il est ouvert par un utilisateur, télécharge une page HTML contenant du code malveillant sous la forme d’un objet de type MSHTML, qui ne figure pas sur la liste noire de VBScript Engine contrairement à d’autres types d’objets, précisément pour prévenir ce mode d’attaque.

Cette méthode d’infection unique en son genre passe d’Office à Internet Explorer

L’attaque se déclenche lorsqu’un utilisateur Windows ouvre un fichier RTF dans Microsoft Word ou consulte un site web spécialement conçu à cet effet. Elle se différencie des attaques similaires car elle charge une page HTML renfermant du code VBScript, qui contourne les filtres recherchant des types suspects de fichiers applicatifs, et qui est exécuté par VBScript Engine.

Ce passage de Microsoft Office vers le noyau Internet Explorer révèle une faille distinctive dont l’exploitation n’avait encore jamais été observée dans du code jusque-là. Sa révélation risque donc d’ouvrir la voie à des méthodes d’attaque comparables par d’autres menaces.

La méthode d’exploitation de la vulnérabilité, dénommée « Double Kill » a jusqu’ici été employée uniquement dans des attaques ciblées. Double Kill installe plusieurs backdoors sur les machines ciblées, ce qui permet de leur envoyer des commandes supplémentaires après l’intrusion initiale. D’après les activités passées de l’auteur présumé du code malveillant, APT-C-06, ces mécanismes sont vraisemblablement implantés afin d’exfiltrer des informations depuis certaines cibles.

Cette attaque a pu être attribuée car elle utilise le backdoor « retro », dont le nom provient directement du code source implanté par APT-C-6 précédemment. L’un des échantillons de malware étudiés coïncide également avec des produits d’APT-C-06 sur une machine infectée examinée par les chercheurs depuis plusieurs années.

Le script malveillant se dissimule sous plusieurs couches de masquage et de redirection destinées à échapper à une rétro-ingénierie par des analystes, y compris après sa découverte. Il emploie notamment une technique de stéganographie dans une image afin de cacher les paramètres lui servant à communiquer avec sa base, des programmes déguisés en applications inoffensives telles que ssh ou zlib, ou encore un cryptage par substitution d’octets, de sorte que le code découvert soit méconnaissable. Cette dernière méthode est l’un des indices ayant permis d’attribuer l’attaque à APT-C-06, une menace active depuis 2007 et ciblant principalement des victimes en Chine. Il s’est avéré que cet échantillon de malware utilisait un même mécanisme de décryptage déjà mis en œuvre par APT-C-06 par le passé.

L’exploitation de cette vulnérabilité pourrait se répandre

Comme Microsoft le précise, alors que les attaques « in the wild » utilisaient des documents RTF, les attaquants pouvaient tout aussi bien tromper une victime en visitant un site Web avec le VBScript intégré, ouvrant la porte à des téléchargements par drive et à des publicités malveillantes.

Ainsi, le fait d’utiliser OLE pour charger un exploit d’Internet Explorer dans Word est une nouvelle technique susceptible de se répandre, indépendamment du fait qu’Internet Explorer soit défini comme navigateur par défaut. Malgré les correctifs, les attaquants ne perdront probablement pas de temps à utiliser cet exploit : d'une part, le code d'exploitation PoC a déjà été publié sur GitHub ; d'autre part, les entreprises ne s’empressent plus d’appliquer les correctifs Microsoft, surtout après la confusion et les perturbations causées par Meltdown et Spectre et les corrections ratées qui ont suivi.

Le 25 mai, les inquiétudes concernant cette exploitation commençaient déjà à se confirmer : les chercheurs ont remarqué que Double Kill était incorporé dans le kit d'exploitation RIG. Puis le 29 mai, la vulnérabilité CVE-2018-8174 a également été incorporée dans le générateur d'exploit ThreadKit, ce qui signifie que les criminels ayant peu d'expertise technique peuvent désormais créer et déployer des documents Word qui l'exploitent.

Alors que Double Kill sévit déjà, ce n’est qu’une question de temps avant que d’autres attaques, moins ciblées, exploitent elle aussi cette vulnérabilité.